EID2010-02-04
From RISO Wiki
eIdentiteedi töörühma 04.02.2010 nõupidamise protokoll
Koht: Harju 11, MKM, Aatrium
Aeg: kell 11.00 – 14.00
Osalejad
1. Uuno Vallner RISO
2. Hannes Linno RIA
3. Ülar Kaldasaun TJA
4. Erika Adams TJA
5. Mehis Sihvart RIK
6. Taavi Valdlo RISO
7. Märt Ibrus RISO
8. Kalev Pihl Sertifitseerimiskeskus
9. Tarvi Martens Sertifitseerimiskeskus
10. Jüri Voore Sertifitseerimiskeskus
11. Kaido Raiend SEB Pank
12. Jürgen Niinre EMT
13. Martin Paljak Ideelabor
14. Mart Randala Ideelabor
15. Helar Laasik Politsei- ja Piirivalveamet
16. Carol Viikmaa RIK
17. Hettel Varik Justiitsministeerium
18. Ivar Jung SMIT
Protokollis: Taavi Valdlo
Päevakava
1. Sertifikaatide hindamise metoodika, kontaktpunkti ja sertifitseerimise registri protseduurid
2. Õigusaktide muudatuste ettevalmistamine
3. eID ja koosvõime raamistiku uus versioon
4. Krüptograafiliste algoritmide uuringu ettevalmistamine
5. ID-kaardi ja digitaalallkirja baastarkvara arenduse tulemused
6. eID töörühma 2010 töökava
1.Sertifikaatide hindamise metoodika, kontaktpunkti ja sertifitseerimise registri protseduurid
U.Vallner andis ülevaate eID-ga seotud peamistest sündmustest 2009. aastal. Ta tõi esile digitaalallkirja seaduse muutmise ja digitaalse templi loomise, digitaalne isikut tõendava dokumendi loomise (isikut tõendavate dokumentide seaduse muutmine ja hange dokumentide väljaandmiseks), ID kaardi baastarkvara, sertifikaatide hindamise metoodika, välissertide valideerimisteenuse. E-äriregistri ettevõtjaportaali piiriülene ettevõtete asutamine (RIK) oli eGovernment Awards 2009 nominent.
Euroopa usaldusnimekirjade TSL (trust status list) koosseisus esitavad liikmesriigid digitaalallkirju käsitleva ühenduse raamistiku direktiivi alusel kvalifitseeritud sertifikaate väljastavate järelevalvealuste sertifitseerimisteenuse osutajate sertifitseerimisteenuste loetelu ja hetkeseisu. http://ec.europa.eu/information_society/policy/esignature/eu_legislation/trusted_list/index_en.htm Eesti usaldusnimekiri loodi 2009 a. lõpul, uuendamine on kavas veebruari lõpul. Materjal on esitatud Sertifitseerimise registri lehel http://sr.riik.ee Eestis on välissertifikaate seni hinnanud Sertifitseerimiskeskuse eksperdid RISO tellimusel, ka vastava metoodika hanke võitja on SK. Informatsioon hinnatud välissertifikaatide kohta on samuti üleval Sertifitseerimise registri veebilehel. Hindamise ülesanne läheb edaspidi TJA-le.
Digitaalse isikut tõendava dokumendi väljaandmine on Siseministeeriumis ettevalmistamisel, vastav hankeleping on täitmisel. Kaart on olemas, digitaalne isikut tõendavat dokumente on kavas välja anda alates 1. oktoobrist. Sertifikaat on samast ESTEID puust aga mitte isikutunnistusele kantu koopia. Kuna sertifikaate tuleb juurde, on loomisel isiku veebiteenus, et inimene saaks vaadata oma olemasolevaid sertifikaate (LDAP-päring) ja informatsiooni sooritatud tehingute kohta.
C.Viikmma sõnul on piiriülese eID hanke tehnilises osas käsil uued läbirääkimised, veebruari algul tulid pakkumised. Täpsustamist vajavad näiteks BDOC-vastavad arendused, krüptoalgoritmid, sh elliptilised kõverad. Kuna SF reeglid käsitavad hanke mõlemat osa ühtse tervikuna, viibib ka metoodika hanke lepingu allkirjastamine. On tekkinud risk ajagraafikus püsimisega, tehnilises osas on ette nähtud tähtaeg kuus kuud pluss kolm kuud piloteerimiseks. Tähtaja pikendamise osas on võimalik vajadusel MKMga läbi rääkida.
Euroopas eID vallas toimuvat tutvustas T.Martens. Valideerimisteenuse (st tasemed ja vastavad kehtivusteenused) üleeuroopaliseks loomisel on koostamisel nn üle-Euroopaline valideerimisplatvorm. Euroopa Komisjon tellis uurimuse http://ec.europa.eu/idabc/en/document/7764 , kuid selles loetleti ja käsitleti peamiselt probleeme, nägemust lahenduste osas seni ei ole. Pilootprojektid STORK ja PEPPOL ehitavad omi valideerimisplatvorme, tulemuseks on hiiglasuur OCSP võrk. Üle-Euroopalise hankekeskkonna pilootprojekti PEPPOL käsitlusalas on siiski elementaarsed digitaalallkirjad. Eesti ei saa siin tulemustele loota, kuid peame toimuvat jälgima.
2. Õigusaktide muudatuste ettevalmistamine
Digitaalallkirja seaduse ja alamaktide muutmine Digitaalallkirja seaduse § 40. „Välismaise sertifikaadi tunnustamine“ on vaja täpsemalt lahti kirjutada. Autentimise ja allkirjastamise regulatsioon vajab täiendavat selgitamist ja ühtlustamist isikut tõendavate dokumentide seadusega. Kvalifitseeritud ja mittekvalifitseeritud sertifikaatide hindamise alused tuleks välja tuua omaette peatükina. DAS VI peatüki „Sertifitseerimise Register“ käsitlusala oleks vaja täiendada. Lisaks senisele sertifitseerimisteenuste osutajate andmetele peaks esitama osutatavate sertifitseerimisteenuste liigid ja nende kirjeldused. Tuleb määratleda teenuste info esitamise ja teenuste auditi nõudeid. Peatüki pealkirjaks pakuti „ Digitaalsed usaldusteenused“, seega oleks DAS koosseis esitamine loogiline. Tehti ettepanek määratleda sertifikaatide hindamise nn piirivalveteenus omaette sertifitseerimisteenusena. Valideerimisteenuse mõiste vajab reguleerimist, valideerimisteenused on OCSP-teenused, st eelkõige kehtivuskinnitus. Ka ajatempliteenus ei ole otseselt sertifitseerimisteenus, kuid on digitaalne usaldusteenus ja selle olemus ning koht vajab selgitamist. Teemaga tuleb tegeleda ja järelevalveasutuse rolli täpsustada. Vajadusel tuleb pöörduda tagasi ajatemplite registreerimise kohustuse juurde. Metoodika hankes on sees ettepanekud DAS muutmiseks, sealt tuleb samuti sisend.
Sertifitseerimise registri uus põhimäärus on Vabariigi Valitsuse 10.detsembri 2009 määrusega nr 187 vastu võetud. Uue redaktsiooni muudatuste sisuks on peamiselt juriidilised aspektid DAS muutmisega vastavusse viimiseks. TJA tegeleb infosüsteemi loomisega, vastavad sertifitseerimise registri tehnoloogilised protsessid annavad omaltpoolt sisendi SR põhimääruse muutmiseks uuel ringil. Usaldusnimekirjade haldamine, SR uued protsessid, järelevalve aspektid, registri arhiivi käsitlus jms esitavad täiendavaid nõudeid. TJA arendab ja käivitab uue infosüsteemi, eID töörühma informeeritakse, kui asi valmis.
Euroopa Liidu õigusaktid, plaanitav elektronallkirja direktiivi muutmine, vastavad digitaalallkirja raamistiku standardiviited, TSL ja sertifikaatide hindamine ning muud lähiajal tehtavad teemaga seonduvad otsused on arvessevõtmiseks taustal. Austria on koostanud oma kodanikukaardiga samaväärsete teiste riikide elektroonsete dokumentide loetelu määruse meelnõu. Kas selline algatus (välissertifikaatide tunnustamise määrus) on asjakohane ka Eestis? Sertifikaatide tasemete nõuetekohasuse hindamise tulemused võib vajadusel kehtestada MKM määruse alusel. EL direktiivi nõuetele vastavalt tuleks moodustada komisjon turvalise allkirja andmise vahendi nõuetelevastavuse kontrolliks. Palume esitada ettepanekuid DAS muutmiseks ja käivitame protsessi. Koos Justiitsministeeriumiga tuleb leida DAs muutmise eelnõu algversiooni koostaja.
Alamaktidest vajavad kiiret muutmist majandus- ja kommunikatsiooniministri 25. oktoobri 2004. a määrus nr 193 „Sertifitseerimise riikliku registri volitatud töötleja avalikud võtmed ja neile vastavate isiklike võtmete kasutusala“. Sertifitseerimise registri vastutav töötleja annab volitatud töötlejale üle võtmepaari vastavuses uue tehnoloogiaga. Teede- ja sideministri 3. oktoobri 2000. a määrus nr 83 „Teenuse osutajate infosüsteemide auditeerimise kord“ on sisu osas ajast maha jäänud. Õigusaktide, standardite ning muud nõuete allikate loetelu tuleb täpsustada, alginfo eelnõu koostamiseks on olemas. MKM esitab eelnõu märtsikuus menetlusele.
Töörühma koosseisu uuendamine eID töörühma liikmete esindatavate asutuste ümberkorraldamine ja töörühma liikmete ametikohtade muutumine tingib töörühma koosseisu täpsustamise vajaduse. Ekspertide ja ettevõtetega võetakse ühendust. Kui on vastavaid ettepanekuid või operatiivset informatsiooni, palutakse teada anda. Majandus- ja kommunikatsiooniministri 16.07.2008 käskkirja nr 278 "Ametkondadevahelise töörühma moodustamine elektroonse identiteedi ja avaliku võtme infrastruktuuriga seotud lahenduste kooskõlastamiseks" uut versiooni tutvustatakse eelnevalt.
3. eID ja koosvõime raamistiku uus versioon
Koosvõime raamistiku uuendamine toimub kooskõlas strateegiadokumentidega, eID strateegiast tuleneb eID vaade koosvõime raamistikule. Sellel aastal on kavas koostada koosvõime raamistiku dokumentide uued versioonid. Koosvõime ametkondadevaheline töögrupp on loodud, RISO korraldab selle tegevust. Üldine projektijuhtimine ning tööd infoturbe ja eID koosvõime aspektide osas on käivitatud, ettevalmistamisel on hanked veebide koosvõime ja vaba tarkvara teemadel. Dokumendid tõlgitakse ka inglise keelde. eID koosvõime osas eraldi dokumenti ei tehtud, teemad kattuvad. eID temaatika ( sh mobiil ID, digitempel jm) on infoturbe koosvõime raamistiku alla peatükis „eIdentiteet, Eesti avaliku võtme infrastruktuur ja ID-kaart“ http://www.riso.ee/wiki/Versioon_2009#eIdentiteet.2C_Eesti_avaliku_v.C3.B5tme_infrastruktuur_ja_ID-kaart Palutakse lugeda, täiendada ja anda Tarvile tagasisidet.
4. Krüptograafiliste algoritmide uuringu ettevalmistamine
Krüptograafiliste algoritmide kasutusvaldkondade ja elutsükli uuringu läbiviimiseks on vahendid olemas. Töö lõpuleviimise tähtaeg on august 2010. Teemale tuleb vaadata laiemalt, uurimistöö läbiviimine on oluline Eesti ID kaardi uue kiibi valikuks, BDOC kasutuselevõtuks ja X-tee arendamiseks. Krüptoalgoritmide hindamisega seotud organisatsioonilised küsimused ja olulised nõuded ning korrad on vaja määratleda, et tagada dokumendi soovitustest kinnipidamine. ISKE nõuded, AKI nõuded ja X-tee nõuded on sisendiks. Vajadusel tuleb käsitleda seonduvaid teemasid nagu kaardi operatsioonisüsteemid ja biomeetria. Uuele digitaalsele isikut tõendavale dokumendile on vaja soovitusi nõuete ja piirangute osas (võtmepikkuse alampiir, elliptiliste kõverate kasutamine jm). Ühekilobaidise RSA võtmega edasi minna ei saa. Ülesande püstituse materjal on lisatud, palume ettepanekuid selle täiendamiseks hankedokumentatsiooni ettevalmistamisel.
5. ID-kaardi ja digitaalallkirja baastarkvara arenduse tulemused
RIA lõpetas ühepoolselt lepingu ID-kaardi baastarkvara arendaja, OÜ Smartlinkiga. Tänaseks on töö üleandmine ligi kaheksa kuud veninud. Arenduste tugi hilines, usaldus on kadunud. Seetõttu peeti vajalikuks leping lõpetada ja leida uus arenduspartner. Tarkvara edasiarendamiseks ja hooldamiseks kuulutab RIA lähiajal välja uue hanke. Ka kõige optimistlikumatel hinnangutel tekib vähemalt 4-kuuline viide töö täitmisel. Senise liini jätkamise korral tuleks tehtu vastu võtta, ei tellitaks lisaarendusi ja hooldust. Piiriülese eID tehnilise osa jaoks tekitaks see näiteks teekide kasutamisel probleeme, BDOC, krüptoalgoritmid, litsentsi (EUPL) jm küsimused tuleb koos lahendada.
6. eID töörühma 2010 töökava
MKM tellimusel teostati mobiil-ID turvauuring, milles esitati mitme kõrge prioriteediga soovituse rakendamine turvariskide maandamiseks. Peamise probleemina toodi välja, et tegutses vaid üks operaator. Vahepeal rakendatud meetmete ja muutunud olukorra analüüsiks on vaja MKM tellimusel teostada 2010 aasta jooksul järelaudit. eID töörühmas on tulemuste arutelu olemasoleva praktika, sertifikaatide taseme ning ka Vabariigi Valimiskomisjoni huvide osas asjakohane. Töögrupi ülesanne on kursis olla ja arutada auditi tulemusi.. Analüüsimist vajab mobiil-ID seos digitaalse dokumendi käsitlusega ning kvalifitseeritud sertifikaadi nõuetele vastavuse kinnitamine. Siseministeerium plaanib esialgu käsitleda mobiil-ID vaid lihtsa digitaalse allkirja andmise vahendina.
Jätkuvad teemad:
• Turvalised isikustatud andmeteenused
• Välismaiste sertifikaatide hindamise keskkonna loomine
• Digitaalallkirja andmise tagasiside ja turvalisus
• ID kaardi ja digitaalallkirja baastarkvara uuendamine
• Piiriülene PKI hindamine
• Kursisolek EL projektide ja algatustega (ISA-programm, koosvõime raamistiku aspektid)
Piirkondlik rahvusvaheline ja Euroopa Liidu koostöö on tähtis, näiteks Läänemere strateegia tegevuskava raames on Eesti võtnud endale kohustusi elektroonse autentimise ja allkirjastamise edendamiseks regioonis. Euroopa Komisjon on andnud Euroopa standardiorganisatsioonidele ülesande (mandaat M/460) digitaalallkirja standardi koostamiseks. Eesmärgiks on õigusaktides viidatavate koosvõimeliste standardite koostamine. Eesti eksperdid jälgivad toimuvat, otsest vajadust meie digitaalallkirja vormingu profiili BDOC aktiivseks tutvustamiseks antud seoses pole.
Palume esitada ettepanekuid, arvamusi ja probleemipüstitusi eID töörühma töökavade osas.
